Настройка SSL Passthrough в Burp Suite

Введение

Burp Suite — это мощная платформа для тестирования безопасности веб-приложений. Одной из его основных функций является перехватывающий прокси, который позволяет вам проверять и изменять трафик между вашим браузером и веб-сервером. Однако иногда может потребоваться предотвратить перехват Burp трафика к определенным хостам. Это может быть сделано, чтобы избежать нарушения работы приложений, использующих закрепление сертификатов (certificate pinning), повысить производительность, игнорируя высокообъемный трафик из доверенных доменов, или просто для фокусировки на целевом приложении.

Именно здесь на помощь приходит SSL Passthrough. Эта функция указывает Burp Suite передавать зашифрованный (TLS/SSL) трафик напрямую на целевой сервер, не пытаясь его расшифровать или перехватить.

В этой лабораторной работе вы научитесь настраивать правило SSL Passthrough в Burp Suite, чтобы исключить все домены Google из перехвата. В лабораторной среде предустановлена Burp Suite Community Edition, а браузер предварительно настроен для использования прокси Burp.

Перейдите в Proxy > Options > SSL Passthrough

На этом шаге вы запустите Burp Suite и перейдете к настройкам SSL Passthrough. Все действия будут выполняться в среде рабочего стола VNC.

Сначала запустите Burp Suite:

Нажмите на меню "Applications" в верхнем левом углу экрана.
Перейдите в Other -> Burp Suite Community Edition.

Появится диалоговое окно. Для этой лабораторной работы вы можете использовать временный проект:

Оставьте выбранным Temporary project и нажмите Next.
На следующем экране нажмите Use Burp defaults, затем нажмите Start Burp.

После открытия Burp Suite вам нужно найти настройки SSL Passthrough.

Нажмите на вкладку Proxy.
Во вкладке Proxy нажмите на подвкладку Options.
Прокрутите страницу настроек вниз, пока не найдете раздел под названием SSL Passthrough.

Теперь вы находитесь в нужном месте для добавления нового правила.

Нажмите 'Add', чтобы создать новое правило

На этом шаге вы начнете процесс добавления нового правила SSL Passthrough.

Раздел SSL Passthrough позволяет указать назначения, для которых Burp не будет выполнять TLS-перехват. Любые запросы к этим назначениям будут передаваться напрямую на сервер, и их содержимое не будет видно в истории прокси.

Для начала найдите кнопку Add в разделе SSL Passthrough и нажмите ее.

После нажатия Add появится новое диалоговое окно под названием "Add SSL Passthrough rule". В этом диалоговом окне вы укажете детали хоста, который хотите исключить из перехвата.

Введите имя хоста, которое вы не хотите перехватывать (например, *.google.com)

На этом шаге вы определите конкретный хост или домен, который будет исключен из перехвата.

В диалоговом окне "Add SSL Passthrough rule", которое вы открыли на предыдущем шаге, вы увидите поле с надписью Host or IP range. Здесь вы вводите назначение, которое хотите обойти.

Вы можете использовать подстановочные знаки (*) для соответствия всем поддоменам определенного домена. Это очень полезно для крупных сервисов, таких как Google, которые используют множество различных поддоменов (например, www.google.com, mail.google.com, apis.google.com).

В поле Host or IP range введите следующее значение:

*.google.com

После ввода имени хоста нажмите кнопку OK, чтобы сохранить правило. Диалоговое окно закроется, и вы увидите ваше новое правило в списке SSL Passthrough.

Включите правило

На этом шаге вы активируете только что созданное правило SSL Passthrough.

По умолчанию, при добавлении нового правила оно создается в отключенном состоянии. Вы должны явно включить его, чтобы оно вступило в силу. Вы увидите свое новое правило для *.google.com в списке, но флажок в столбце Enabled в настоящее время не установлен.

Чтобы включить правило, просто щелкните флажок в столбце Enabled рядом с записью *.google.com.

Как только флажок будет установлен, правило станет активным. Burp Suite теперь будет автоматически пропускать любой TLS-трафик, предназначенный для любого поддомена google.com, без его перехвата.

Перейдите к указанному хосту и убедитесь, что трафик отсутствует в истории прокси

На этом заключительном шаге вы протестируете правило SSL Passthrough, перейдя на домен Google и просмотрев историю прокси.

Сначала перейдите к журналу истории прокси в Burp Suite:

Убедитесь, что вы все еще находитесь на вкладке Proxy.
Нажмите подвкладку HTTP history. Этот журнал показывает весь трафик, проходящий через прокси Burp.

Затем откройте веб-браузер в среде VNC:

Нажмите меню "Applications".
Перейдите в Internet -> Firefox.

В адресной строке Firefox введите https://www.google.com и нажмите Enter. Домашняя страница Google должна загрузиться нормально.

Теперь вернитесь в Burp Suite и посмотрите на вкладку HTTP history. Вы заметите, что в записях для www.google.com отсутствуют детали загрузки страницы (например, GET /, GET /some-image.png и т. д.). Вы можете увидеть одну запись, такую как CONNECT www.google.com:443, которая является начальной настройкой соединения, но зашифрованные прикладные данные сами "прошли" без логирования.

Чтобы убедиться, что прокси по-прежнему работает для других сайтов, вернитесь в Firefox и перейдите по адресу http://example.com. Теперь снова проверьте HTTP history в Burp. Вы увидите полный запрос и ответ для example.com, что доказывает, что ваше правило прохождения является специфичным для Google.

Резюме

В этой лабораторной работе вы успешно настроили и протестировали функцию SSL Passthrough в Burp Suite.

Вы узнали, как:

Перейти к настройкам SSL Passthrough в опциях прокси Burp Suite.
Добавить новое правило для исключения определенного домена, используя подстановочный знак (*.google.com) для охвата всех его поддоменов.
Включить правило, чтобы сделать его активным.
Проверить работу правила, наблюдая, что трафик к указанному домену больше не перехватывается и не логируется в истории HTTP, в то время как трафик к другим доменам остается без изменений.

Овладение этой функцией поможет вам создать более эффективный и целенаправленный рабочий процесс во время оценки безопасности веб-приложений.